Jeden z dyrektorów compliance polskiego dużego banku powiedział mi niedawno rzecz, która dobrze podsumowuje gdzie jesteśmy. „Nasz system reguł wykrywa 70% fraudu, który zna. Problem w tym, że struktura fraudu, który nas dziś atakuje, nie jest tym samym fraudem, który znamy." To jest moment, w którym graph neural networks wchodzą do rozmowy.

Chcę być jasna: GNN nie są magicznym rozwiązaniem. Są jednak konkretną klasą architektur, która adresuje konkretny problem — wykrywanie wzorców w danych, które mają strukturę sieciową. I akurat fraud, pranie pieniędzy, oszustwa ubezpieczeniowe mają strukturę sieciową w sposób fundamentalny.

Przypomnienie techniczne. Graph neural network to sieć neuronowa operująca na grafie — zbiorze wierzchołków (np. klientów, rachunków, transakcji) połączonych krawędziami (relacjami). GNN uczy się reprezentacji każdego wierzchołka, która uwzględnia właściwości samego wierzchołka oraz właściwości jego sąsiadów. W kolejnych iteracjach zasięg „sąsiedztwa" rośnie, więc GNN potrafi uchwycić wzorce globalne, nie tylko lokalne.
W tym tekście
  1. Dlaczego reguły nie wystarczają w 2026
  2. Gdzie GNN dostarczają najwięcej wartości
  3. Architektura produkcyjnego systemu GNN
  4. Największy problem — dane
  5. Realistyczny plan wdrożenia
  6. Jak mierzyć sukces

Dlaczego reguły nie wystarczają w 2026

Klasyczne systemy antyfraudowe opierają się na regułach typu „transakcja powyżej X PLN z kraju Y, z klienta posiadającego rachunek krócej niż Z dni, generuje alert". Reguły są proste, szybkie, explainable — regulator to lubi. Mają jednak dwie fundamentalne słabości.

Po pierwsze — reguły wykrywają tylko to, co człowiek potrafi sformułować. Wszystko, co wymaga rozumienia struktury sieciowej transakcji (np. „ten rachunek jest częścią sieci stu podobnych rachunków, które koordynowanie przyjmują i przesyłają podobne kwoty"), jest poza zasięgiem reguł.

Po drugie — reguły są statyczne. Oszustwa ewoluują miesiąc do miesiąca; reguły są aktualizowane kwartalnie w najlepszym wypadku. Ta asymetria pracuje na korzyść oszustów.

Modele uczenia maszynowego uzupełniające reguły (random forests, gradient boosting na cechach transakcyjnych) adresują częściowo drugi problem, ale nie pierwszy. Wciąż operują na cechach pojedynczej transakcji lub pojedynczego klienta. Nie widzą struktury, w której ta transakcja czy klient się znajdują.

GNN adresują oba problemy jednocześnie. Uczą się na strukturze sieciowej, więc widzą wzorce, których reguły nie wyrażą. I są trenowane w sposób ciągły na nowych danych, więc dostosowują się do ewolucji wzorców.

Gdzie GNN dostarczają najwięcej wartości

Wykrywanie rachunków mulowych. Rachunek mulowy — otwarty pod fałszywą tożsamością albo skompromitowany rachunek realnego klienta — jest charakteryzowany nie tyle własnymi cechami, co swoim miejscem w sieci transakcji. Przyjmuje środki z nietypowego zbioru źródeł, szybko je przesyła dalej, często do podobnych rachunków. GNN wyłapują ten wzorzec, nawet gdy żadna pojedyncza transakcja sama w sobie nie jest podejrzana.

AML — struktury smurfingu. Klasyczny scheme: rozbicie dużej kwoty na wiele mniejszych, każda poniżej progów raportowania, przechodzących przez wielu klientów do finalnego odbiorcy. Reguły wykrywają pojedyncze transakcje, nie widzą schemata. GNN widzą graf.

Fraud ubezpieczeniowy koordynowany. W Polsce coraz większy problem — grupy osób koordynujących zgłoszenia szkód komunikacyjnych, majątkowych, zdrowotnych. Pojedyncze zgłoszenie wygląda normalnie; struktura relacji między zgłaszającymi, warsztatami, ekspertami, policją, świadkami zaczyna wyglądać jak sieć dopiero, gdy się tę sieć faktycznie rysuje.

Wykrywanie kradzieży tożsamości. Klient, który został zaatakowany, zaczyna generować transakcje, które nie pasują do jego historycznego wzorca, ale też pasują do wzorców innych zaatakowanych klientów. GNN widzą tę korelację przez „wspólnych sąsiadów" w grafie (np. wspólne urządzenia, wspólne sieci, wspólne odbiory transakcji).

Analiza ryzyka koncentracji w portfelu kredytowym. Powiązania kapitałowe i osobowe między kredytobiorcami. Pozornie różne podmioty, które w praktyce są częścią jednej grupy ekonomicznej, generują ukrytą koncentrację ryzyka. GNN na grafie powiązań korporacyjnych wyłapują te struktury.

Architektura produkcyjnego systemu GNN

Produkcyjny system fraud detection z GNN składa się z warstw, których dobra konstrukcja decyduje o całości projektu.

Warstwa budowy grafu. Dane transakcyjne, relacyjne, identyfikacyjne są przekształcane w graf — wierzchołki (klienci, rachunki, karty, urządzenia, adresy IP) i krawędzie (transakcje, współdzielenie urządzenia, relacje rodzinne). To jest typowo najbardziej pracochłonna część projektu; jakość grafu decyduje o jakości modelu.

Warstwa modelu. Architektura GNN — najczęściej warianty GraphSAGE, GAT (Graph Attention Networks), Heterogeneous GNN dla grafów wielotypowych. Dla antyfraudu ważna jest zdolność pracy z grafami dynamicznymi (zmieniającymi się w czasie) i dużymi (miliony wierzchołków).

Warstwa hybrydowa. GNN rzadko pracuje sam. Produkcyjny system łączy: sygnały z reguł (istniejący system, który działa i którego nikt nie wyłączy), sygnały z klasycznych modeli ML, sygnały z GNN. Warstwa ensemble łączy te źródła w finalną decyzję.

Warstwa explainability. Dla antyfraudu w sektorze regulowanym explainability nie jest luksusem — jest wymogiem. Dla decyzji opartej na GNN system musi być w stanie wygenerować uzasadnienie zrozumiałe dla analityka i dla regulatora. Metody attention visualization, subgraph extraction, counterfactual explanation są standardowym komponentem.

Warstwa operacyjna. Pipeline'y do inferencji w czasie zbliżonym do rzeczywistego (streaming), monitoring modelu w produkcji, mechanizmy retrainingu, integracja z istniejącymi systemami case managementu.

Największy problem — dane

Jeśli mam powiedzieć jedną rzecz o GNN do fraud detection, to jest nią: problem nie leży w modelu. Leży w danych.

Większość banków i ubezpieczycieli ma dane transakcyjne. Ma dane klientów. Ma dane relacyjne (rodzina, korporacyjne powiązania, współdzielone adresy). Ale te dane są w dziesiątkach różnych systemów, w różnych formatach, często niepełne, częściowo aktualne. Budowa grafu wymagającego spójności referencyjnej między tymi systemami jest przedsięwzięciem infrastrukturalnym, nie ML-owym.

Dlatego pierwsza faza dobrego wdrożenia GNN w praktyce nie polega na wybieraniu architektury sieci neuronowej, tylko na zbudowaniu spójnego, aktualnego, pełnego grafu danych instytucji. To zajmuje 3-6 miesięcy. To jest też część, która jest najłatwiej niedoszacowana — bo wygląda nudnie w prezentacji, ale decyduje o wszystkim.

Drugi problem z danymi to labele. Aby wytrenować model wykrywania fraudu w sposób nadzorowany, potrzebujesz historycznych przypadków oznaczonych jako fraud lub nie-fraud. W praktyce: etykiety są niepełne (nie cały fraud zostaje wykryty), opóźnione (fraud odkryty miesiące po zdarzeniu), szumne (część oznaczonych jako fraud przypadków nie była fraudem, tylko nietypowymi ale legalnymi transakcjami). Techniki semi-supervised learning i learning z szumnymi etykietami są istotną częścią projektu.

Realistyczny plan wdrożenia

Poniżej realistyczny plan wdrożenia GNN do antyfraudu w średniej wielkości polskim banku.

Miesiąc 1-3: Budowa pipeline'u danych grafowych. Identyfikacja źródeł, projektowanie schematu grafu, integracja danych, walidacja spójności. Typowo najdłuższa i najbardziej pracochłonna faza.

Miesiąc 4-5: Trenowanie i walidacja modelu. Wybór architektury, trenowanie, walidacja na danych historycznych. Iteracje nad modelem — zwykle 3-5 rund poprawek.

Miesiąc 6-8: Integracja z systemami operacyjnymi. Deployment modelu w środowisku banku, integracja z systemami case managementu, uruchomienie shadow mode — model pracuje równolegle z istniejącym systemem reguł, ale jego decyzje nie wpływają jeszcze na nic.

Miesiąc 9-10: Kalibracja i stopniowe przekazywanie decyzji. Porównanie wyników modelu z wynikami systemu reguł, identyfikacja przypadków, w których GNN ma przewagę, stopniowe włączanie decyzji GNN do finalnego scoringu.

Miesiąc 11-12: Pełne uruchomienie produkcyjne i rytm ciągłego doskonalenia. Przekazanie odpowiedzialności do zespołu banku, uruchomienie monitoringu, procedur retrainingu.

Dla banku, który ma sensowny fundament danych, timeline 10-12 miesięcy jest realistyczny. Dla banku, który nie ma fundamentu, wdrożenie dokona się w 18-24 miesiące, a pierwszy rok będzie głównie o infrastrukturze.

Jak mierzyć sukces

Metryki dla antyfraudu są trickier niż w innych zastosowaniach ML, bo fraud jest z natury rzadkim zdarzeniem (typowo 0,01-0,5% transakcji).

Precision@K — spośród K zgłoszeń o najwyższym score, ile jest faktycznych przypadków fraudu. Metryka operacyjna, bo analityk jest w stanie obsłużyć tylko ograniczoną liczbę alertów dziennie.

Recall dla typów fraudu — rozbity na kategorie. System może mieć wysoki overall recall, ale słabo wykrywać jeden konkretny typ schematu.

Wykryte wartość wolumenu fraudu (w PLN) — najważniejsza metryka biznesowa. Jeśli system łapie więcej alertów, ale niższej wartości, to jest gorszy dla banku niż system łapiący mniej ale wyższej wartości.

Time-to-detect — jak szybko system zaczyna wykrywać nowy schemat fraudu, gdy ten się pojawia. Główna przewaga GNN nad regułami — system uczy się ciągle.

False positive rate w podziale na segmenty klientów — system, który generuje za dużo fałszywych alarmów dla premium klientów, generuje nieproporcjonalnie dużo problemów biznesowych.

Explainability coverage — odsetek alertów, dla których system potrafi wygenerować zrozumiałe uzasadnienie. Wysoka wartość tej metryki jest warunkiem akceptacji przez zespoły compliance i regulatora.

Dla banków i ubezpieczycieli rozważających GNN w antyfraudzie. W AIGP pracujemy z zespołami mającymi produkcyjne doświadczenie z sieciami neuronowymi grafowymi dla zadań antyfraudowych i AML. Jeśli Twoja instytucja planuje modernizację antyfraudu w 2026-2027 — zacznijmy od rozmowy o stanie Waszych danych i realnych punktów startowych.